Cybersécurité : il faut garantir la visibilité du trafic chiffré sur le cloud hybride
octobre 2023 par Gigamon
La très grande majorité des cybercriminels utilisent les mêmes tactiques pour brouiller les pistes que celles utilisées par les équipes sécurité et en général, personne ne remarque rien.
Les attaques chiffrées sont définitivement un problème récurrent du cloud hybride et la nouvelle technologie Precryption de Gigamon permet aux équipes sécurité d’avoir de la visibilité sur ce qui était jusqu’à présent un angle mort.
Le cloud a des angles morts : on ne peut pas sécuriser ce que l’on ne voit pas
Notre dernière enquête sur la sécurité du cloud hybride, menée auprès de plus de 1 000 responsablesIT et sécurité dans le monde* a révélé que leur principale préoccupation est l’exploitation d’angles morts dont ils ne soupçonnent pas l’existence.
Dans le contexte actuel du cloud hybride, avec de plus en plus de workloads dans des clouds privés et publics, les décideurs de la sécurité sont confrontés à la problématique des angles morts, en particulier avec les mouvements latéraux (trafic est-ouest), qui ne sont pas capturés correctement ou totalement par la journalisation.(logs) La plupart des solutions se concentrent sur le périmètre du cloud ou sur un agent de journalisation sur l’hôte, voire supposent que la plateforme du cloud public gérera la sécurité automatiquement.
Selon Venafi, plus de 80 % des organisations ont connu un incident de sécurité dans le cloud au cours de l’année 2022, et notre propre enquête sur la sécurité a révélé que 31 % des attaques n’ont pas été détectées par les outils de sécurité.
Les menaces se cachent dans les canaux chiffrés
Le chiffrement est devenu quasi omniprésent dans les réseaux actuels. Il remplit le rôle de confidentialité en empêchant le vol de données significatives. Malheureusement, cette technologie est exploitée par des acteurs malveillants qui utilisent le chiffrement pour dissimuler leurs traces.
Les attaquants se servent des informations d’identification des salariés, chiffrent leurs actions, usurpent des ports et simulent même l’aspect et la convivialité du trafic et des outils normaux, si bien que 31 % des violations de données enregistrées l’année dernière n’ont pas été détectées par les outils de sécurité et visibilité. Ces types d’attaques sont précisément la raison pour laquelle tant d’organisations adoptent des architectures Zero Trust. Pour ce faire, il faut une visibilité totale sur l’ensemble du réseau, aussi bien sur site, que dans le cloud ou en mode hybride. Lorsque le chiffrement est ajouté au mélange, beaucoup de faits étranges peuvent se produire. Dernièrement, il y a eu un cas de violation dans laquelle les attaquants ont optimisé les performances du réseau afin d’accélérer l’exfiltration des données.
Observer le trafic chiffré est difficile
Les responsables IT et sécurité reconnaissent que le trafic réseau ne ment pas, et qu’ils ont besoin de cette source fiable et immuable. Depuis quelques années, les technologies fournissent une visibilité en texte clair au niveau du périmètre ou d’autres points d’étranglement via des solutions de déchiffrage. Dans le monde de l’informatique dématérialisée, où les cybercriminels contournent le périmètre et se déplacent latéralement à l’intérieur de canaux chiffrés, cela ne suffit plus.
Les normes de chiffrement modernes basées sur le secret parfait, telles que TLS 1.3, ont rendu le déchiffrement à l’intérieur du cloud compliqué et coûteux, presque infaisable ou au mieux, peu pratique.
Le déchiffrement dans le cloud nécessite soit des agents lourds et des outils de sécurité d’exécution à l’intérieur de chaque couche d’une application, soit des actes non naturels de routage du trafic dans le cloud, soit les deux. La plupart des entreprises n’ont donc pas relevé le défi, mais la pression exercée pour l’adoption de TLS 1.3 et de PFS, combinée au comportement habituel des attaquants, rend le coût de l’inaction de plus en plus élevé.
Redéfinir la sécurité pour les serveurs virtuels, cloud et conteneurs
La promesse est de rendre l’observabilité du trafic chiffré plus facile, plus efficace, sans charge supplémentaire pour les équipes de développement et à moindre coûts. La nouvelle technologie Precryption offre une visibilité du texte en clair sans déchiffrement. Elle exploite la fonctionnalité native de Linux, pour capturer le trafic avant qu’il ne soit chiffré sur le réseau ou après qu’il ait été déchiffré. Aucune clé ne doit être interceptée, aucune bibliothèque de clés n’est à gérer. La pile de sécurité reçoit une copie en clair du trafic, ce qui augmente à la fois sa capacité et son efficacité. L’élimination des angles morts et l’amélioration de la détection des menaces sont essentielles à la réussite de l’architecture Zero Trust.
Cette nouvelle technologie de cybersécurité fonctionne indépendamment de l’application, ce qui évite les défis opérationnels des approches classiques basées sur les agents, comme la gestion du cycle de vie lorsque l’agent et l’application ont des calendriers de mise à jour différents.
* 200 en France